Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Batch Rôle d'exécution IAM
Le rôle d'exécution accorde au conteneur Amazon ECS et aux AWS Fargate agents l'autorisation d'effectuer des appels d' AWS API en votre nom.
**Note**
Le rôle d'exécution est pris en charge par l'agent de conteneur Amazon ECS version 1.16.0 et versions ultérieures.
Le rôle d'exécution IAM est requis en fonction des exigences de votre tâche. Vous pouvez avoir plusieurs rôles d'exécution pour différents objectifs et services associés à votre compte.
**Note**
Pour plus d'informations sur le rôle d'instance Amazon ECS, consultez[Rôle d'instance Amazon ECS](instance_IAM_role.md). Pour plus d'informations sur les rôles de service, consultez[Comment AWS Batch fonctionne avec IAM](security_iam_service-with-iam.md).
Amazon ECS fournit la politique `AmazonECSTaskExecutionRolePolicy` gérée. Cette politique contient les autorisations requises pour les cas d'utilisation courants décrits ci-dessus. Il peut être nécessaire d'ajouter des politiques intégrées à votre rôle d'exécution pour les cas d'utilisation particuliers décrits ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Autorisations prises en charge au niveau des ressources pour les actions d'API AWS Batch
Le terme *autorisations au niveau des ressources* fait référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. AWS Batch prend partiellement en charge les autorisations au niveau des ressources. Pour certaines AWS Batch actions, vous pouvez contrôler le moment où les utilisateurs sont autorisés à utiliser ces actions en fonction des conditions qui doivent être remplies. Vous pouvez également contrôler en fonction des ressources spécifiques que les utilisateurs sont autorisés à utiliser. Par exemple, vous pouvez autoriser les utilisateurs à soumettre des tâches, mais uniquement à une file d'attente spécifique et uniquement avec une définition de tâche spécifique.
Pour plus de détails sur les actions et les types de ressources définis par AWS Batch, y compris le ARNs format de chaque type de ressource, voir Actions, ressources et clés de condition [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)dans la *référence d'autorisation de service*.
# Tutoriel : Création du rôle d'exécution IAM
Si votre compte ne possède pas encore de rôle d'exécution IAM, suivez les étapes ci-dessous pour créer le rôle.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Pour **Type d'entité de confiance**, sélectionnez ** Service AWS**.
1. Pour **Service ou cas d'utilisation**, choisissez **Elastic Container Service**. Choisissez ensuite à nouveau **Elastic Container Service Task**.
1. Choisissez **Suivant**.
1. Pour **les politiques relatives aux autorisations**, recherchez **Amazon ECSTask ExecutionRolePolicy**.
1. Cochez la case située à gauche de la ECSTask ExecutionRolePolicy politique d'**Amazon**, puis choisissez **Next**.
1. Dans **Nom du rôle**, entrez `ecsTaskExecutionRole` puis choisissez **Créer un rôle**.
# Tutoriel : Vérifiez le rôle d'exécution IAM
Utilisez la procédure suivante pour vérifier que votre compte possède déjà le rôle d'exécution IAM et associez la politique IAM gérée, si nécessaire.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Recherchez dans la liste des rôles `ecsTaskExecutionRole`. Si vous ne trouvez pas le rôle, consultez[Tutoriel : Création du rôle d'exécution IAM](create-execution-role.md). Si vous avez trouvé le rôle, choisissez-le pour afficher les politiques associées.
1. Dans l'onglet **Autorisations**, vérifiez que la politique ECSTask ExecutionRolePolicy gérée par **Amazon** est attachée au rôle. Si la politique est attachée, votre rôle d'exécution est correctement configuré. Sinon, suivez les sous-étapes ci-dessous pour attacher la politique.
1. Choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez **Amazon ECSTask ExecutionRolePolicy**.
1. Cochez la case située à gauche de la ECSTask ExecutionRolePolicy politique d'**Amazon** et choisissez **Joindre les politiques**.
1. Choisissez **Trust Relationships** (Relations d'approbation).
1. Vérifiez que la relation d'approbation contient la politique suivante. Si la relation de confiance correspond à la politique ci-dessous, le rôle est correctement configuré. Si la relation d'approbation ne correspond pas, choisissez **Modifier la politique de confiance**, entrez ce qui suit, puis choisissez **Mettre à jour la politique**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilisation de rôles liés à un service pour AWS Batch
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
AWS Batch utilise deux rôles différents liés à un service :
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Pour les AWS Batch opérations, y compris les environnements informatiques.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Pour la gestion de la charge de travail de l' SageMaker IA et la mise en file d'attente.
**Topics**
+ [Utilisation de rôles pour AWS Batch](using-service-linked-roles-batch-general.md)
+ [Utiliser les rôles pour utiliser AWS Batch l' SageMaker IA](using-service-linked-roles-batch-sagemaker.md)
# Utilisation de rôles pour AWS Batch
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Batch car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Batch définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Batch peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
**Note**
Procédez de l'une des manières suivantes pour spécifier un rôle de service pour un environnement AWS Batch informatique.
Utilisez une chaîne vide pour le rôle de service. Cela permet de AWS Batch créer le rôle de service.
Spécifiez le rôle de service au format suivant :`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Pour plus d'informations, consultez [Nom de rôle ou ARN incorrect](invalid_compute_environment.md#invalid_service_role_arn) le guide de AWS Batch l'utilisateur.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Batch ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour AWS Batch
AWS Batch utilise le rôle lié au service nommé **AWSServiceRoleForBatch**— Permet de AWS Batch créer et de gérer des AWS ressources en votre nom.
Le rôle AWSService RoleForBatch lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `batch.amazonaws.com`
La politique d'autorisations de rôle nommée [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy) AWS Batch permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ `autoscaling`— Permet de AWS Batch créer et de gérer des ressources Amazon EC2 Auto Scaling. AWS Batch crée et gère des groupes Amazon EC2 Auto Scaling pour la plupart des environnements informatiques.
+ `ec2`— Permet AWS Batch de contrôler le cycle de vie des instances Amazon EC2 ainsi que de créer et de gérer des modèles et des balises de lancement. AWS Batch crée et gère les demandes EC2 Spot Fleet pour certains environnements informatiques EC2 Spot.
+ `ecs`- Permet AWS Batch de créer et de gérer des clusters Amazon ECS, des définitions de tâches et des tâches pour l'exécution des tâches.
+ `eks`- Permet AWS Batch de décrire la ressource du cluster Amazon EKS pour les validations.
+ `iam`- Permet AWS Batch de valider et de transmettre les rôles fournis par le propriétaire à Amazon EC2, Amazon EC2 Auto Scaling et Amazon ECS.
+ `logs`— Permet AWS Batch de créer et de gérer des groupes de journaux et des flux de journaux pour les AWS Batch tâches.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Batch
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un environnement informatique dans le AWS Management Console, le ou l' AWS API AWS CLI, vous AWS Batch créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Si vous utilisiez le AWS Batch service avant le 10 mars 2021, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez AWS Batch créé le AWSService RoleForBatch rôle dans votre compte. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un environnement informatique, il AWS Batch crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Batch
AWS Batch ne vous permet pas de modifier le rôle AWSService RoleForBatch lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
**Pour autoriser une entité IAM à modifier la description du rôle lié à un AWSService RoleForBatch service**
Ajoutez la déclaration suivante à la politique d'autorisation. Cela permet à l'entité IAM de modifier la description d'un rôle lié à un service.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Supprimer un rôle lié à un service pour AWS Batch
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
**Pour autoriser une entité IAM à supprimer le rôle lié à un AWSService RoleForBatch service**
Ajoutez la déclaration suivante à la politique d'autorisation. Cela permet à l'entité IAM de supprimer un rôle lié à un service.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer tous les environnements AWS Batch informatiques qui utilisent le rôle dans toutes les AWS régions sur une seule partition.
**Pour vérifier si une session est active pour le rôle lié à un service**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis le AWSService RoleForBatch nom (et non la case à cocher).
1. Sur la page **Résumé**, choisissez **Access Advisor** et consultez l'activité récente pour le rôle lié à un service.
**Note**
Si vous ne savez pas si le AWSService RoleForBatch rôle AWS Batch est utilisé, vous pouvez essayer de le supprimer. Si le service utilise le rôle, le rôle ne sera pas supprimé. Vous pouvez consulter les régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
**Pour supprimer les AWS Batch ressources utilisées par le rôle lié à AWSService RoleForBatch un service**
Vous devez supprimer tous les environnements AWS Batch informatiques qui utilisent le AWSService RoleForBatch rôle dans toutes les AWS régions avant de pouvoir supprimer le AWSService RoleForBatch rôle.
1. Ouvrez la AWS Batch console à l'adresse [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dans la barre de navigation, sélectionnez la région à utiliser.
1. Dans le panneau de navigation, choisissez **Environnements de calcul**.
1. Sélectionnez l'environnement informatique.
1. Choisissez **Désactiver**. Attendez que l'**état** passe à **DÉSACTIVÉ**.
1. Sélectionnez l'environnement informatique.
1. Sélectionnez **Delete (Supprimer)**. Confirmez que vous souhaitez supprimer l'environnement de calcul en choisissant **Supprimer l'environnement de calcul**.
1. Répétez les étapes 1 à 7 pour tous les environnements informatiques qui utilisent le rôle lié à un service dans toutes les régions.
### Supprimer un rôle lié à un service dans IAM (console)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Sélectionnez ensuite la case à cocher située à côté AWSServiceRoleForBatch, et non le nom ou la ligne elle-même.
1. Choisissez **Delete role** (Supprimer le rôle).
1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service Service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez **Oui, supprimer** pour lancer la tâche de suppression du rôle.
1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu’il soit supprimé, la suppression peut réussir ou échouer.
+ Si la tâche réussit, le rôle est supprimé de la liste et une notification de succès s'affiche en haut de la page.
+ Si la tâche échoue, vous pouvez choisir **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource.
+ Si la tâche échoue et que la notification n'inclut pas de liste des ressources, le service peut ne pas renvoyer cette information. Pour savoir comment nettoyer les ressources pour ce service, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM ()AWS CLI
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (CLI)**
1. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l’état de la tâche de suppression. Saisissez la commande suivante pour envoyer une demande de suppression d’un rôle lié à un service :
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Saisissez la commande suivante pour vérifier l’état de la tâche de suppression :
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, certaines d'entre elles. Ou bien, il se peut qu'aucune ressource ne soit signalée. Pour savoir comment nettoyer les ressources d'un service qui ne signale aucune ressource, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM (API)AWS
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (API)**
1. Pour envoyer une demande de suppression pour un rôle lié à un service, appelez [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dans la demande, spécifiez le nom du AWSService RoleForBatch rôle.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.
1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource. Pour apprendre à nettoyer les ressources pour un service qui n'indique aucune ressource, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
## Régions prises en charge pour les rôles AWS Batch liés à un service
AWS Batch prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Utiliser les rôles pour utiliser AWS Batch l' SageMaker IA
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Batch car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Batch définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Batch peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Batch ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour AWS Batch
AWS Batch utilise le rôle lié au service nommé **AWSServiceRoleForAWSBatchWithSagemaker**— Permet de mettre en file AWS Batch d'attente et de gérer les tâches de SageMaker formation en votre nom.
Le rôle AWSService RoleFor AWSBatch WithSagemaker lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `sagemaker-queuing.batch.amazonaws.com`
La politique d'autorisation des rôles AWS Batch permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ `sagemaker`— Permet AWS Batch de gérer les tâches de SageMaker formation, de transformer les tâches et d'autres ressources d' SageMaker IA.
+ `iam:PassRole`— Permet de AWS Batch transmettre des rôles d'exécution définis par le client à l' SageMaker IA pour l'exécution des tâches. La contrainte de ressources permet de transmettre des rôles aux services d' SageMaker IA.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Batch
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un environnement de service `CreateServiceEnvironment` à l'aide de AWS Management Console, de AWS CLI, ou de l' AWS API, vous AWS Batch créez le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un environnement de service à l'aide de`CreateServiceEnvironment`, AWS Batch crée à nouveau le rôle lié au service pour vous.
Pour consulter le JSON de la politique, consultez [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Modification d'un rôle lié à un service pour AWS Batch
AWS Batch ne vous permet pas de modifier le rôle AWSService RoleFor AWSBatch WithSagemaker lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Batch
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer tous les environnements de service qui utilisent le rôle dans toutes les AWS régions sur une seule partition.
**Pour vérifier si une session est active pour le rôle lié à un service**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis le AWSService RoleFor AWSBatch WithSagemaker nom (et non la case à cocher).
1. Sur la page **Résumé**, choisissez **Access Advisor** et consultez l'activité récente pour le rôle lié à un service.
**Note**
Si vous ne savez pas si le AWSService RoleFor AWSBatch WithSagemaker rôle AWS Batch est utilisé, vous pouvez essayer de le supprimer. Si le service utilise le rôle, le rôle ne sera pas supprimé. Vous pouvez consulter les régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
**Pour supprimer les AWS Batch ressources utilisées par le rôle lié à AWSService RoleFor AWSBatch WithSagemaker un service**
Vous devez dissocier toutes les files d'attente de tâches de tous les environnements de service, puis vous devez supprimer tous les environnements de service qui utilisent le AWSService RoleFor AWSBatch WithSagemaker rôle dans toutes les AWS régions avant de pouvoir supprimer le AWSService RoleFor AWSBatch WithSagemaker rôle.
1. Ouvrez la AWS Batch console à l'adresse [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dans la barre de navigation, sélectionnez la région à utiliser.
1. Dans le volet de navigation, choisissez **Environments**, puis **Service environments**.
1. Sélectionnez tous les **environnements de service**.
1. Choisissez **Désactiver**. Attendez que l'**état** passe à **DÉSACTIVÉ**.
1. Sélectionnez l'environnement de service.
1. Sélectionnez **Delete (Supprimer)**. Confirmez que vous souhaitez supprimer l'environnement de service en choisissant **Supprimer l'environnement de service**.
1. Répétez les étapes 1 à 7 pour tous les environnements de service qui utilisent le rôle lié au service dans toutes les régions.
### Supprimer un rôle lié à un service dans IAM (console)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Sélectionnez ensuite la case à cocher située à côté AWSService RoleFor AWSBatchWithSagemaker, et non le nom ou la ligne elle-même.
1. Choisissez **Delete role** (Supprimer le rôle).
1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service Service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez **Oui, supprimer** pour lancer la tâche de suppression du rôle.
1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu’il soit supprimé, la suppression peut réussir ou échouer.
+ Si la tâche réussit, le rôle est supprimé de la liste et une notification de succès s'affiche en haut de la page.
+ Si la tâche échoue, vous pouvez choisir **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource.
+ Si la tâche échoue et que la notification n'inclut pas de liste des ressources, le service peut ne pas renvoyer cette information. Pour savoir comment nettoyer les ressources pour ce service, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM ()AWS CLI
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (CLI)**
1. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l’état de la tâche de suppression. Saisissez la commande suivante pour envoyer une demande de suppression d’un rôle lié à un service :
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Saisissez la commande suivante pour vérifier l’état de la tâche de suppression :
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, certaines d'entre elles. Ou bien, il se peut qu'aucune ressource ne soit signalée. Pour savoir comment nettoyer les ressources d'un service qui ne signale aucune ressource, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM (API)AWS
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (API)**
1. Pour envoyer une demande de suppression pour un rôle lié à un service, appelez [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dans la demande, spécifiez le nom du AWSService RoleFor AWSBatch WithSagemaker rôle.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.
1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource. Pour apprendre à nettoyer les ressources pour un service qui n'indique aucune ressource, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
## Régions prises en charge pour les rôles AWS Batch liés à un service
AWS Batch prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Rôle d'instance Amazon ECS
AWS Batch les environnements de calcul sont alimentés par des instances de conteneur Amazon ECS. Ils exécutent l'agent de conteneur Amazon ECS localement. L'agent de conteneur Amazon ECS appelle diverses opérations AWS d'API en votre nom. Par conséquent, les instances de conteneur qui exécutent l'agent nécessitent une politique et un rôle IAM pour que ces services reconnaissent que l'agent vous appartient. Vous devez créer un rôle IAM et un profil d'instance pour les instances de conteneur à utiliser lors de leur lancement. Dans le cas contraire, vous ne pouvez pas créer d'environnement de calcul et y lancer des instances de conteneur. Cette exigence s'applique aux instances de conteneur lancées avec ou sans l'AMI optimisée Amazon ECS fournie par Amazon. Pour plus d'informations, consultez [Rôle d'instance Amazon ECS](#instance_IAM_role) dans le *Guide du développeur Amazon Elastic Container Service*
**Topics**
+ [Vérifiez le rôle d'instance Amazon ECS de votre compte](batch-check-ecsinstancerole.md)
# Vérifiez le rôle d'instance Amazon ECS de votre compte
Le rôle et le profil d'instance Amazon ECS sont automatiquement créés pour vous lors de la première utilisation de la console. Toutefois, vous pouvez suivre ces étapes pour vérifier si votre compte possède déjà le rôle et le profil d'instance Amazon ECS. Les étapes suivantes expliquent également comment associer la politique IAM gérée.
**Tutoriel : Vérifiez la présence du `ecsInstanceRole` dans la console IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Recherchez dans la liste des rôles `ecsInstanceRole`. Si le rôle n'existe pas, procédez comme suit pour le créer.
1. Choisissez **Create Role** (Créer un rôle).
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
1. Pour les **cas d'utilisation courants**, choisissez **EC2.**
1. Choisissez **Suivant**.
1. Pour **les politiques d'autorisations**, recherchez **Amazon EC2 ContainerServicefor EC2 Role**.
1. Cochez la case à côté d'**Amazon EC2 ContainerServicefor EC2 Role**, puis choisissez **Next**.
1. Sous **Nom du rôle**, tapez `ecsInstanceRole`, puis choisissez **Créer un rôle**.
**Note**
Si vous utilisez le AWS Management Console pour créer un rôle pour Amazon EC2, la console crée un profil d'instance portant le même nom que le rôle.
Vous pouvez également utiliser le AWS CLI pour créer le rôle `ecsInstanceRole` IAM. L'exemple suivant crée un rôle IAM avec une politique de confiance et une politique AWS gérée.
**Tutoriel : Création d'un rôle IAM et d'un profil d'instance ()AWS CLI**
1. Créez la politique de confiance suivante et enregistrez-la dans un fichier texte nommé`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilisez la commande [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) pour créer le `ecsInstanceRole` rôle. Spécifiez l'emplacement du fichier de politique de confiance dans le `assume-role-policy-document` paramètre.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Utilisez la [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)commande pour créer un profil d'instance nommé`ecsInstanceRole`.
**Note**
Vous devez créer des rôles et des profils d'instance en tant qu'actions distinctes dans l' AWS API AWS CLI and.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Voici un exemple de réponse.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Utilisez la commande [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) pour ajouter le `ecsInstanceRole` rôle au profil de l'`ecsInstanceRole`instance.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Utilisez la [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)commande pour associer la politique `AmazonEC2ContainerServiceforEC2Role` AWS gérée au `ecsInstanceRole` rôle.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rôle de la flotte Amazon EC2 Spot
Si vous créez un environnement informatique géré qui utilise des instances Amazon EC2 Spot Fleet, vous devez créer la `AmazonEC2SpotFleetTaggingRole` politique. Cette politique autorise Spot Fleet à lancer, étiqueter et résilier des instances en votre nom. Spécifiez le rôle dans votre demande de parc d'instances Ponctuelles. Vous devez également avoir les rôles **AWSServiceRoleForEC2Spot** et **AWSServiceRoleForEC2SpotFleet**liés aux services pour Amazon EC2 Spot et Spot Fleet. Suivez les instructions ci-dessous pour créer tous ces rôles. Pour plus d'informations, consultez les sections [Utilisation de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) et [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Créez des rôles pour les flottes ponctuelles Amazon EC2 dans AWS Management Console](spot-fleet-roles-console.md)
+ [Créez des rôles pour les flottes ponctuelles Amazon EC2 à l'aide du AWS CLI](spot-fleet-roles-cli.md)
# Créez des rôles pour les flottes ponctuelles Amazon EC2 dans AWS Management Console
**Pour créer le rôle lié au service `AmazonEC2SpotFleetTaggingRole` IAM pour Amazon EC2 Spot Fleet**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pour la **gestion des accès**, choisissez **Rôles**,
1. Pour **Rôles**, choisissez **Créer un rôle**.
1. **Dans Sélectionner une entité de confiance** **pour le type d'entité de** confiance, sélectionnez **Service AWS**.
1. Pour les **autres cas d'utilisation Services AWS**, choisissez **EC2**, puis **EC2 - Spot Fleet** Tagging.
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations** pour le **nom de la politique**, vérifiez`AmazonEC2SpotFleetTaggingRole`.
1. Choisissez **Suivant**.
1. Pour **Nom, passez en revue et créez** :
1. Dans **Nom du rôle**, entrez un nom pour identifier le rôle.
1. Dans **Description**, entrez une brève explication de la politique.
1. (Facultatif) Pour **l'étape 1 : sélectionnez les entités fiables**, choisissez **Modifier** pour modifier le code.
1. (Facultatif) Pour **l'étape 2 : Ajouter des autorisations**, choisissez **Modifier** pour modifier le code.
1. (Facultatif) Pour **Ajouter des balises**, choisissez **Ajouter une balise** pour ajouter des balises à la ressource.
1. Choisissez **Créer un rôle**.
**Note**
Dans le passé, il existait deux politiques gérées pour le rôle Amazon EC2 Spot Fleet.
**Amazon EC2 SpotFleetRole** : il s'agit de la politique gérée d'origine pour le rôle Spot Fleet. Cependant, nous ne vous recommandons plus de l'utiliser avec AWS Batch. Cette politique ne prend pas en charge le balisage des instances Spot dans les environnements informatiques, qui est nécessaire pour utiliser le rôle lié à un `AWSServiceRoleForBatch` service. Si vous avez déjà créé un rôle Spot Fleet avec cette politique, appliquez la nouvelle politique recommandée à ce rôle. Pour de plus amples informations, veuillez consulter [Instances ponctuelles non étiquetées lors de la création](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole** : ce rôle fournit toutes les autorisations nécessaires pour baliser les instances Spot Amazon EC2. Utilisez ce rôle pour autoriser le balisage des instances Spot dans vos environnements AWS Batch informatiques.
# Créez des rôles pour les flottes ponctuelles Amazon EC2 à l'aide du AWS CLI
**Pour créer le rôle **Amazon EC2 SpotFleetTaggingRole** IAM pour vos environnements informatiques Spot Fleet**
1. Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Pour associer la politique IAM EC2 SpotFleetTaggingRole gérée par **Amazon** à votre EC2 SpotFleetTaggingRole rôle **Amazon**, exécutez la commande suivante avec le AWS CLI.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Pour créer le rôle lié au service `AWSServiceRoleForEC2Spot` IAM pour Amazon EC2 Spot**
**Note**
Si le rôle lié au service `AWSServiceRoleForEC2Spot` IAM existe déjà, un message d'erreur semblable au suivant s'affiche.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Pour créer le rôle lié au service `AWSServiceRoleForEC2SpotFleet` IAM pour Amazon EC2 Spot Fleet**
**Note**
Si le rôle lié au service `AWSServiceRoleForEC2SpotFleet` IAM existe déjà, un message d'erreur semblable au suivant s'affiche.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Rôle IAM
Amazon EventBridge fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux AWS ressources. AWS Batch des emplois sont disponibles en tant que EventBridge cibles. À l'aide de règles simples et rapidement configurées, vous pouvez faire correspondre des événements et leur soumettre des tâches AWS Batch en réponse. Avant de pouvoir soumettre des AWS Batch tâches avec des EventBridge règles et des cibles, vous EventBridge devez disposer des autorisations nécessaires pour exécuter AWS Batch des tâches en votre nom.
**Note**
Lorsque vous créez une règle dans la EventBridge console qui spécifie une AWS Batch file d'attente comme cible, vous pouvez créer ce rôle. Pour afficher un exemple de procédure, consultez [AWS Batch les emplois en tant que EventBridge cibles](batch-cwe-target.md). Vous pouvez créer le EventBridge rôle manuellement à l'aide de la console IAM. Pour obtenir des instructions, consultez [la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le guide de l'utilisateur IAM.
La relation de confiance associée à votre rôle EventBridge IAM doit permettre au directeur du `events.amazonaws.com` service d'assumer ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Assurez-vous que la politique associée à votre rôle EventBridge IAM autorise `batch:SubmitJob` les autorisations sur vos ressources. Dans l'exemple suivant, AWS Batch fournit la politique `AWSBatchServiceEventTargetRole` gérée pour fournir ces autorisations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------